本机信息收集
一、手工
1.查询网络配置信息: ipconfig /all
2. 查询操作系统和版本信息: systeninfo
查看系统体系架构:echo %PROCESSOR_ARCHITECTURE%
查看安装的软件及版本信息: wmic product get name,version
3.查询本机服务信息: wmic service list brief
4.查询进程列表: tasklist or wmic process list brief
识别杀软:提权辅助网页 Windows提权辅助 (hacking8.com)
Windows杀软在线对比辅助 (shentoushi.top)
5.查看启动程序信息:wmic startup get command,caption
6. 查看计划任务 : schtasks /query /fo LIST /v
7. 查看主机开机时间 : net statistics workstation
8. 查询用户列表 :
查询本机:net user
查询当前用户: query user
查询本地管理员: net localgroup administrators
9. 列于与计算机建立连接的客户端会话 : net session
10. 查询端口列表 : netstat -ano
11. 查看补丁列表: systeminfo
12. 查询本机共享列表:net share or wmic share get name,path,status
13. 查询路由表及 ARP缓存表: route print -4 or arp -a
14. 查询防火墙相关配置 :
关闭防火墙
netsh advfirewall set allprofiles state off
查看防火墙配置
netsh firewall show state
netsh firewall show config
修改防火墙配置
~允许指定程序入站
netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="c:\nc.exe"
~允许指定程序出站
netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="c:\nc.exe"
~允许 3389 端口放行
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
~指定端口开放 or 禁用
netsh advfirewall firewall add rule name=禁用TCP端口 dir=in action=block protocol=TCP localport="135-139,445,3389"
netsh advfirewall firewall add rule name=禁用UDP端口 dir=in action=block protocol=UDP localport="135-139,445"
# 允许 4444 端口入站
netsh advfirewall firewall add rule name=allow_tcp dir=in action=allow protocol=TCP localport=4444
~删除某一条规则
netsh advfirewall firewall delete rule name="allow_tcp"
~自定义防火墙日志的储存位置
netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log" 15. 查看代理配置情况:
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" 16. 查询并开启远程连接服务
查询:
REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber
开启:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
二、wmic自动收集
https://github.com/gysf666/wmic_info
域内信息收集
1.查询当前权限:whoami
2.获取域SID :whoami /all Tip:S-1-5-21-3400743657-2482171024-2725879596-500 500之前为域SID,加上500为域内主机SID
3. 查询指定用户详细信息:net user /domain
net user 777/domain
4.判断是否存在域以及域名:ipconfig /all
5.判断主域:net time /domain
6.探测内网存活主机:fscan、nbtscan、arp
ICMP扫C段: for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.23.%I | findstr "TTL="
7.查询域控主机名称及IP: nltest /DCLIST:abc.com or Nslookup -type=SRV _ldap._tcp
8.查询用户组(需要DC权限) :net group /domain
---------------- ->
9.查询组用户 ( 需要DC权限) :net group " domain users " /domain、
10. 列出本机的所有进程及进程用户: tasklist -v
11.寻找文件位置:win:for /r C:\ %i in (1653042293000.png*) do echo %i
linux: find / -name 6834f4d9-c9fd-422a-9bc2-4cbd03ec432b.png
ipc$:
1. 建立连接
net use \\10.1.1.128\IPC$
2.删除连接
net use \\10.1.1.128\IPC$ del
3.查看远程主机时间
net time \\10.1.1.128
4.查看远程主机的共享资源
net view \10.1.1.128
)
)
)
)